Εγκατάσταση του προγράμματος-πελάτη TMG. Φιλτράρισμα email. Στάδιο. Διαχείριση υποδομής εικονικού δικτύου

Το Microsoft Forefront Threat Management Gateway (TMG) 2010 βασίζεται σε μεγάλο βαθμό σε μια ποικιλία υπηρεσιών για τη διατήρηση της ασφάλειας του δικτύου και της βέλτιστης απόδοσης. Η διαμόρφωση των διεπαφών δικτύου και ιδιαίτερα η ανάλυση ονομάτων διαδραματίζει βασικό ρόλο, ειδικά εάν το TMG έχει ρυθμιστεί ως διακομιστής μεσολάβησης προς τα εμπρός και προς τα πίσω. Στην πρακτική μου, πολλά προβλήματα με το TMG προκλήθηκαν από λανθασμένη ρύθμιση DNS. Σε αυτό το άρθρο θα ήθελα να μιλήσω για τη ρύθμιση διεπαφών δικτύου και απαιτήσεων διακομιστή DNS για σωστή ανάλυση ονόματος στο TMG.

Απαιτήσεις για διακομιστές DNS

Όταν επιλέγετε έναν διακομιστή DNS στο TMG, υπάρχουν πολλά πράγματα που πρέπει να λάβετε υπόψη: σημαντικούς παράγοντες. Για ένα πολύ σπάνιο εκτός από το TMGπρέπει να ρυθμιστεί ώστε να χρησιμοποιεί μόνο εσωτερικούς διακομιστές DNS που μπορούν να επιλύσουν εσωτερικό χώρο διευθύνσεων καθώς και εξωτερικές διευθύνσεις. Για να διασφαλιστεί η απρόσκοπτη λειτουργία, αυτοί οι διακομιστές DNS πρέπει να συνδέονται μέσω γρήγορων συνδέσεων και να διαθέτουν επαρκείς πόρους για την επιτυχή επεξεργασία όλων των εισερχόμενων αιτημάτων επίλυσης ονόματος. Αυτό εξαρτάται εξ ολοκλήρου από το πόσοι χρήστες είναι συνδεδεμένοι στο TMG και πώς συνδέονται. Το Web Proxy Client και το TMG Client εξαρτώνται πλήρως από το TMG για την ανάλυση ονομάτων, αυξάνοντας το φόρτο στους διακομιστές DNS. Οι πελάτες SecureNAT εκτελούν την ανάλυση μόνοι τους. Εάν οι διακομιστές DNS είναι πολύ συμφορημένοι ή μεταξύ TMG και Προβλήματα DNSμε τα κανάλια επικοινωνίας, μπορεί να αντιμετωπίσετε μια μεγάλη ποικιλία προβλημάτων με το TMG. Για παράδειγμα, αυτό θα μπορούσε να έχει ως αποτέλεσμα αργή φόρτωση σελίδων ή αίτημα ελέγχου ταυτότητας για χρήστες που θα πρέπει να πιστοποιούνται με διαφάνεια χρησιμοποιώντας NTLM ή Kerberos.

Διαμόρφωση διεπαφής δικτύου

Η ρύθμιση μιας διεπαφής δικτύου στο TMG με μία διεπαφή δικτύου είναι πολύ απλή: η διεύθυνση IP, η μάσκα, η πύλη και ο διακομιστής DNS είναι όλα ρυθμισμένα στην τοπική διεπαφή. Η κατάσταση γίνεται κάπως πιο περίπλοκη όταν υπάρχουν πολλές διεπαφές δικτύου. Εάν το TMG έχει πολλαπλές διεπαφές δικτύου, τότε κάθε διεπαφή πρέπει να έχει τη δική της μοναδική μάσκα IP και υποδικτύου. Ωστόσο, ανεξάρτητα από το πόσες διεπαφές δικτύου έχετε, μπορείτε να έχετε μόνο μία προεπιλεγμένη πύλη και στην εξωτερική διεπαφή. Ποτέ μην διαμορφώνετε μια προεπιλεγμένη πύλη σε μια διεπαφή διαφορετική από την εξωτερική (εκτός εάν διαμορφώσετε τον πλεονασμό ISP, στον οποίο και οι δύο μπροστινό μέροςκαι έχουν τις δικές τους προεπιλεγμένες πύλες). Εάν πρέπει να αποκτήσετε πρόσβαση σε οποιοδήποτε απομακρυσμένο υποδίκτυο εντός του δικτύου ή στο περιμετρικό δίκτυο, χρησιμοποιήστε το μόνιμο στατικές διαδρομές.

Η σειρά εκχώρησης διεπαφών δικτύου

Για TMG με πολλές διεπαφές δικτύου, υπάρχει μια ακόμη ρύθμιση που πολύ συχνά και αδικαιολόγητα ξεχνιέται. Αυτή είναι η σειρά με την οποία συνδέονται οι διεπαφές δικτύου. Ανοιξε Κέντρο δικτύου και κοινής χρήσης, κάντε κλικ στον σύνδεσμο Αλλάξτε τις ρυθμίσεις του προσαρμογέα. Επόμενο κλικ στο ΠροχωρημένοςΚαι Προηγμένες ρυθμίσεις…

Επιλέξτε μια καρτέλα Προσαρμογείς και δεσμίδεςκαι βεβαιωθείτε ότι η εσωτερική διεπαφή δικτύου είναι πρώτη στη λίστα. Εάν δεν συμβαίνει αυτό, επιλέξτε το και χρησιμοποιήστε τα βέλη στα δεξιά για να το μετακινήσετε στην πρώτη θέση.

Ρυθμίσεις DNS

Οι διακομιστές DNS θα πρέπει να καθορίζονται μόνο στην εσωτερική διεπαφή. Μην διαμορφώνετε το DNS σε καμία άλλη διεπαφή. Ένα πολύ συνηθισμένο λάθος είναι όταν οι διαχειριστές καθορίζουν τις διευθύνσεις των διακομιστών DNS του παρόχου στην εξωτερική διεπαφή εκτός από τους εσωτερικούς διακομιστές DNS που καθορίζονται στην εσωτερική διεπαφή.

Εξαίρεση στον κανόνα

Υπάρχει μόνο ένας τύπος ανάπτυξης TMG που επιτρέπει τον καθορισμό διακομιστών DNS στην εξωτερική διεπαφή. Σε αυτό το σενάριο, το TMG δεν είναι μέλος τομέα και δεν σχετίζεται με εσωτερικούς πόρους.

Εσωτερικοί ριζικοί διακομιστές DNS

Σε ορισμένες περιπτώσεις, οι εσωτερικοί διακομιστές DNS δεν μπορούν να επιλύσουν εξωτερικές διευθύνσεις. Αυτό μπορεί να συμβαίνει, για παράδειγμα, όταν οι εσωτερικοί διακομιστές DNS έχουν ρυθμιστεί ως διακομιστές ρίζας για τον εσωτερικό χώρο ονομάτων σας. Ωστόσο, οι απαιτήσεις της TMG παραμένουν αμετάβλητες. Η λειτουργία του απαιτεί τη δυνατότητα επίλυσης τόσο εσωτερικών όσο και εξωτερικών διευθύνσεων.

Σε αυτό το σενάριο, πρέπει να ρυθμίσετε τις παραμέτρους του διακομιστή DNS για το TMG ώστε να πληροί αυτές τις απαιτήσεις. Ο καλύτερος τρόποςΑυτό γίνεται με τη ρύθμιση ενός αποκλειστικού διακομιστή DNS προσωρινής αποθήκευσης με διαμορφωμένη προώθηση.

Χρήσιμες πληροφορίες

sivpk.ru - ένας ιστότοπος για την επιλογή και τη συναρμολόγηση ενός υπολογιστή. Εδώ μπορείτε να διαβάσετε για την επιλογή και τη σύνθεση ενός υπολογιστή παιχνιδιών, πολυμέσων και γραφείου.

Ένας ενδιαφέρον ιστότοπος που έχει μια λεπτομερή ανασκόπηση της φιλοξενίας και άλλων ενδιαφέροντα άρθρασχετικά με την επιλογή φιλοξενίας, εργαλεία webmaster και πολλά άλλα.

Ένα από τα χαρακτηριστικά του Forefront TMG είναι η υποστήριξη πολλών πελατών που χρησιμοποιούνται για τη σύνδεση στο Forefront TMG Firewall. Ένας τύπος πελάτη είναι ο πελάτης Microsoft Forefront TMG, γνωστός και ως πελάτης Winsock για Windows. Η χρήση του προγράμματος-πελάτη TMG παρέχει αρκετές βελτιώσεις σε σχέση με άλλους πελάτες (διακομιστής μεσολάβησης Ιστού και Ασφαλές NAT). Ο υπολογιστής-πελάτης Forefront TMG μπορεί να εγκατασταθεί σε πολλαπλά λειτουργικά συστήματα πελατών και διακομιστών Windows (τα οποία δεν προτείνω εκτός από τους Terminal Servers) που είναι ασφαλισμένα με χρήση του Forefront TMG 2010. Το πρόγραμμα-πελάτη Forefront TMG παρέχει ειδοποιήσεις επαλήθευσης HTTPS (που χρησιμοποιούνται στο TMG 2010) , αυτόματα εντοπισμός, βελτιωμένη ασφάλεια, υποστήριξη εφαρμογών και έλεγχος πρόσβασης για υπολογιστές-πελάτες. Όταν ένας υπολογιστής-πελάτης που εκτελεί τον υπολογιστή-πελάτη Forefront TMG υποβάλλει αίτημα τείχους προστασίας, το αίτημα προωθείται στον υπολογιστή Forefront TMG 2010 για περαιτέρω επεξεργασία. Δεν απαιτείται ειδική υποδομή δρομολόγησης λόγω της παρουσίας της διαδικασίας Winsock. Ο πελάτης Forefront TMG προωθεί με διαφάνεια τις πληροφορίες χρήστη με κάθε αίτημα, επιτρέποντάς σας να δημιουργήσετε μια πολιτική τείχους προστασίας στον υπολογιστή Forefront TMG 2010 με κανόνες που χρησιμοποιούν τα διαπιστευτήρια που αποστέλλονται από τον πελάτη, αλλά μόνο μέσω της κυκλοφορίας TCP και UDP. Για όλα τα άλλα πρωτόκολλα πρέπει να χρησιμοποιήσετε μια ασφαλή σύνδεση πελάτη NAT. Για μια λίστα με τους λόγους χρήσης του προγράμματος-πελάτη TMG, διαβάστε τον Tom Shinder στη διεύθυνση www.ISAserver.org:

εκτός τυποποιημένα χαρακτηριστικά ΠΡΟΗΓΟΥΜΕΝΕΣ ΕΚΔΟΣΕΙΣΠελάτες τείχους προστασίας, ο πελάτης TMG υποστηρίζει:

• Ειδοποιήσεις επιθεώρησης HTTPS
• Υποστήριξη AD Marker

Τυπικές λειτουργίες πελάτη TMG

• Πολιτική τείχους προστασίας που βασίζεται σε χρήστες ή ομάδες για διακομιστές μεσολάβησης Ιστού και μη μέσω πρωτοκόλλων TCP και UDP (μόνο για αυτά τα πρωτόκολλα)
• Υποστηρίζει πολύπλοκα πρωτόκολλα χωρίς την ανάγκη φίλτρου εφαρμογής TMG
• Απλοποιημένη ρύθμιση δρομολόγησης για μεγάλους οργανισμούς
• Αυτόματη ανακάλυψη πληροφοριών που βασίζονται σε TMG Ρυθμίσεις DNSκαι διακομιστή DHCP.

Απαιτήσεις συστήματος

Ο πελάτης TMG έχει ορισμένες απαιτήσεις συστήματος:

Υποστηριζόμενο λειτουργικό σύστημα

• Windows 7
• Windows Server 2003
• Windows Server 2008
• Windows Vista
• Windows XP

Υποστηριζόμενες εκδόσεις του ISA Server και του Forefront TMG

• ISA Server 2004 Standard Edition
• ISA Server 2004 Enterprise Edition
• ISA Server 2006 Standard Edition
• ISA Server 2006 Enterprise Edition
• Forefront TMG MBE (Medium Business Edition)
• Forefront TMG 2010 Standard Edition
• Forefront TMG 2010 Enterprise Edition

Υποστήριξη λειτουργικού συστήματος

Client/Server – Συμβατότητα

Ρυθμίσεις πελάτη TMG στον διακομιστή TMG

Υπάρχουν μόνο λίγες ρυθμίσεις στον διακομιστή Forefront TMG που ελέγχουν πώς συμπεριφέρεται ο πελάτης Forefront TMG. Πρώτα απ 'όλα, μπορείτε να ενεργοποιήσετε την υποστήριξη πελάτη TMG για τον ορισμό εσωτερικό δίκτυοστον διακομιστή TMG όπως φαίνεται στην παρακάτω εικόνα.

Εικόνα 1: Ρυθμίσεις πελάτη TMG στο TMG

Μόλις ενεργοποιηθεί η υποστήριξη πελάτη TMG (αυτή είναι η προεπιλογή όταν κανονική εγκατάσταση TMG), μπορείτε επίσης να αυτοματοποιήσετε τη διαμόρφωση του προγράμματος περιήγησης στο web υπολογιστές-πελάτες. Κατά τη διάρκεια των κανονικών διαστημάτων ανανέωσης του προγράμματος-πελάτη TMG ή κατά την εκκίνηση της υπηρεσίας, το πρόγραμμα περιήγησης λαμβάνει τις ρυθμίσεις που έχουν διαμορφωθεί στην κονσόλα διαχείρισης TMG.

Στις ρυθμίσεις εφαρμογών στον υπολογιστή-πελάτη TMG στην κονσόλα TMG, μπορείτε να ενεργοποιήσετε ή να απενεργοποιήσετε ορισμένες ρυθμίσεις εξάρτησης εφαρμογής.

Εικόνα 2: Ρυθμίσεις πελάτη TMG

Δείκτης μ.Χ

Το Microsoft Forefront TMG παρέχει μια νέα δυνατότητα αυτόματη ανίχνευσηΔιακομιστής TMG για πελάτη TMG. Σε αντίθεση με τις προηγούμενες εκδόσεις Πελάτες τείχους προστασίαςΟ πελάτης Forefront TMG μπορεί τώρα να χρησιμοποιήσει το διακριτικό Ενεργό αρχείογια να βρείτε τον αντίστοιχο διακομιστή TMG. Ο πελάτης TMG χρησιμοποιεί LDAP για να αναζητήσει τις απαιτούμενες πληροφορίες στην υπηρεσία καταλόγου Active Directory.

Σημείωση:Εάν ο πελάτης TMG δεν βρει ένα διακριτικό AD, δεν θα επιστρέψει στο κλασικό σχήμα αυτόματης ανακάλυψης μέσω DHCP και DNS για λόγους ασφαλείας. Αυτό γίνεται για να μειωθεί ο κίνδυνος μιας κατάστασης στην οποία ένας εισβολέας προσπαθεί να αναγκάσει έναν πελάτη να χρησιμοποιήσει μια λιγότερο ασφαλή μέθοδο. Εάν μπορεί να δημιουργηθεί η σύνδεση Active Directory αλλά δεν μπορεί να βρεθεί ο δείκτης AD, οι πελάτες TMG επιστρέφουν στο DHCP και στο DNS.

Εργαλείο TMGADConfig

Για να δημιουργήσετε μια διαμόρφωση AD Marker στην Active Directory, μπορείτε να κάνετε λήψη του εργαλείου TMG AD Config από το Κέντρο λήψης της Microsoft (πρέπει να βρείτε το AdConfigPack.EXE). Μετά τη λήψη και την εγκατάσταση του εργαλείου στο TMG, πρέπει να εκτελέσετε την ακόλουθη εντολή στον διερμηνέα για να προσθέσετε το κλειδί διακριτικού AD στο κλειδί μητρώου:

Tmgadconfig προσθέστε "προεπιλεγμένο "type winsock "url http://nameoftmgserver.domain.tld:8080/wspad.dat

Μπορείτε επίσης να αφαιρέσετε τον δείκτη AD χρησιμοποιώντας το εργαλείο tmgadconfig, εάν αποφασίσετε να μην χρησιμοποιήσετε την υποστήριξη του δείκτη AD.

Εγκατάσταση του προγράμματος-πελάτη TMG

Η πιο πρόσφατη έκδοση του προγράμματος-πελάτη TMG μπορεί να ληφθεί από τον ιστότοπο της Microsoft. Στο τέλος του άρθρου έχω παράσχει συνδέσμους λήψης.

Ξεκινήστε τη διαδικασία εγκατάστασης και ακολουθήστε τις οδηγίες του οδηγού.

Εικόνα 3: Εγκατάσταση του προγράμματος-πελάτη TMG

Μπορείτε να καθορίσετε τη θέση του διακομιστή TMG με μη αυτόματο τρόπο ή αυτόματα κατά τη διάρκεια της διαδικασίας Εγκαταστάσεις TMGπελάτης. Μετά την εγκατάσταση, μπορείτε να διαμορφώσετε εκ νέου τις παραμέτρους του μηχανισμού ανίχνευσης στον πελάτη TMG χρησιμοποιώντας το εργαλείο Ρυθμίσεις TMGπελάτη, που βρίσκεται στη γραμμή εργασιών του πελάτη σας.

Εικόνα 4: Επιλογή υπολογιστή για εγκατάσταση του προγράμματος-πελάτη TMG

Προηγμένη αυτόματη ανίχνευση

Εάν θέλετε να αλλάξετε τη συμπεριφορά της διαδικασίας αυτόματης ανίχνευσης, ο πελάτης TMG έχει τώρα μια νέα επιλογή για τη διαμόρφωση της μεθόδου αυτόματης ανίχνευσης.

Εικόνα 5: Προηγμένη αυτόματη ανίχνευση

Ειδοποιήσεις επιθεώρησης HTTPS

Το Microsoft Forefront TMG έχει νέο χαρακτηριστικόεπιθεώρηση της κυκλοφορίας HTTPS για εξερχόμενες συνδέσεις πελατών. Για την ενημέρωση των χρηστών σχετικά με αυτήν τη διαδικασία, ο νέος πελάτης TMG μπορεί να χρησιμοποιηθεί για να ενημερώσει τους χρήστες ότι οι εξερχόμενες συνδέσεις HTTPS ελέγχονται εάν το χρειάζεστε. Οι διαχειριστές TMG έχουν επίσης τη δυνατότητα να απενεργοποιήσουν τη διαδικασία ειδοποίησης κεντρικά από τον διακομιστή TMG ή χειροκίνητα σε κάθε πελάτη Forefront TMG. Για Επιπλέον πληροφορίεςδιαβάστε σχετικά με τη ρύθμιση της επιθεώρησης εξερχόμενης κίνησης HTTPS επόμενο τόμοΣιντέρα

Εικόνα 6: Επιθεώρηση ασφαλών συνδέσεων

Εάν είναι ενεργοποιημένη η επιθεώρηση εξερχόμενης σύνδεσης HTTPS και είναι επίσης ενεργοποιημένη η επιλογή ειδοποίησης των χρηστών σχετικά με αυτήν τη διαδικασία, οι χρήστες που έχουν εγκατεστημένο το πρόγραμμα-πελάτη Forefront TMG στους υπολογιστές τους θα λάβουν ένα μήνυμα παρόμοιο με αυτό που φαίνεται στην παρακάτω εικόνα.

Αυτό το υλικό είναι Πρακτική εφαρμογηδύο συγκεκριμένες τεχνολογίες: Microsoft Hyper-Vκαι Microsoft Forefront Threat Management Gateway, τα οποία προσφέρονται από τη Microsoft.

Τεχνικά δεδομένα.

Στο πλαίσιο του έργου υπάρχει ΕΝΑΣ φυσικός διακομιστής με δύο κάρτες δικτύου που υποστηρίζει τεχνολογία εικονικοποίησης. Στο πλαίσιο αυτού του άρθρου, είναι απαραίτητο να λυθεί το πρόβλημα της ανάπτυξης μιας αποστρατιωτικοποιημένης ζώνης (DMZ) σε ένα εικονικό δίκτυο.

Πριν εγκαταστήσετε όλα τα προϊόντα λογισμικού, πρέπει να διαβάσετε τους κανόνες αδειοδότησης, οι οποίοι θα σας επιτρέψουν να υπολογίσετε το κόστος κατοχής του λογισμικού. Η Άδεια Χρήσης της Microsoft ενημερώνεται τακτικά και είναι πάντα διαθέσιμη στον ιστότοπο της Microsoft.

Στάδιο 1. Εγκατάσταση του λειτουργικού συστήματος σε φυσικό διακομιστή.

Η Microsoft προσφέρει 2 επιλογές εικονικοποίησης:

1. Γ χρήση Υπερεπόπτη της MicrosoftΔιακομιστής Hyper-V™ 2008.
   
2. C Χρήση του ρόλου διακομιστή Hyper-V στο MicrosoftΔιακομιστής Windows 2008 R2.
   

Ως μέρος αυτού του άρθρου, θα παρουσιάσουμε μια επιλογή που χρησιμοποιεί τον ρόλο διακομιστή Hyper-V.

Χρησιμοποιώντας τον Υπερβλέποντα Microsoft Hyper-V™ Server 2008.

Η Microsoft κυκλοφόρησε ένα προϊόν που σας επιτρέπει να μετατρέψετε έναν φυσικό διακομιστή σε διακομιστή εικονικής μηχανής χωρίς να εγκαταστήσετε λειτουργικό σύστημα (στην πραγματικότητα, το λειτουργικό σύστημα είναι εγκατεστημένο, αλλά είναι εξειδικευμένο για εικονικοποίηση). Το προϊόν ονομάζεται Microsoft Hyper-V Server.

Για να το διαχειριστείτε, πρέπει να χρησιμοποιήσετε το κέλυφος Hyper-V Manager, το οποίο μπορεί να εγκατασταθεί σε λειτουργία συστήματα Windows 7 και Windows Vista ή έχουν γνώσεις χρήσης του Powershell.

Ο hypervisor Microsoft Hyper-V Server 2008 παρέχει τη δυνατότητα χρήσης της τεχνολογίας εικονικοποίησης ΔΩΡΕΑΝ, αλλά απαιτεί εξειδικευμένες γνώσεις και δεξιότητες για τη συντήρηση και τη χρήση προσθετος εξοπλισμος, όπως μονάδες ταινίας ή συστήματα αποθήκευσης δεδομένων.

Χρήση του ρόλου διακομιστή Hyper-V ως μέρος του Microsoft WindowsΔιακομιστής R2 2008.

Μέσα στο χειρουργείο συστήματα της MicrosoftΤα Windows 2008 R2 έχουν έναν ρόλο Hyper-V που παρέχει τη δυνατότητα δημιουργίας εικονικών μηχανών. Ταυτόχρονα, σε έναν φυσικό διακομιστή είναι δυνατή η χρήση ενός πλήρους λειτουργικού συστήματος, το οποίο θα παρέχει στους διαχειριστές την απαραίτητη ελευθερία δράσης.

Περισσότερες πληροφορίες σχετικά με την εγκατάσταση του υπερεπόπτη διακομιστή Microsoft Hyper-V™ και του ρόλου Hyper-V μπορείτε να βρείτε στον ιστότοπο www.microsoft.ru.

Στάδιο 2. Διαχείριση εικονικής υποδομής δικτύου.

Παρά το γεγονός ότι ο διακομιστής είναι φυσικός, είναι δυνατό να μην εκχωρηθούν διευθύνσεις δικτύου σε φυσικές κάρτες δικτύου, γεγονός που θα εξασφαλίσει ασφάλεια φυσικός διακομιστής. Ωστόσο, η έλλειψη σύνδεση δικτύουΠρος την τοπικό δίκτυοαποκλείει απομακρυσμένη διαχείρισηδιακομιστή στον οποίο είναι εγκατεστημένος ο ρόλος Hyper-V. Συνήθως, για τη διαχείριση διακομιστή, εκχωρείται μια διεύθυνση IP πρόσβασης από το εσωτερικό δίκτυο.

Αναθέτω διεύθυνση δικτύουσε κάρτα δικτύου συνδεδεμένη στο Διαδίκτυο δεν συνιστάται, καθώς δεν υπάρχουν μέσα για να εξασφαλιστεί η πλήρης προστασία του φυσικού διακομιστή.

Είναι καλύτερο να διαμορφώσετε την τρέχουσα υποδομή δικτύου στον διακομιστή εικονικοποίησης. Δεδομένου ότι η υποδομή δικτύου που εξετάζεται είναι μια υποδομή με τρία πόδια (Εσωτερική - DMZ - Εξωτερική), είναι απαραίτητο να δημιουργηθούν τρία δίκτυα, δύο από τα οποία θα εκχωρηθούν φυσικά σε διαφορετικούς προσαρμογείς δικτύου και το τρίτο θα είναι εικονικό - για τους αποστρατιωτικοποιημένους ζώνη. Αυτό γίνεται μέσω του "Virtual Network Manager", όπως φαίνεται στην Εικόνα 1.

Στο παράθυρο "Virtual Network Manager", επιλέξτε "Create εικονικό δίκτυο" Επιλέξτε τον τύπο "Εξωτερικό" και κάντε κλικ στο "Προσθήκη". Η διαδικασία δημιουργίας δικτύου φαίνεται στο Σχ. 2.

Ως μέρος της υποδομής που δημιουργείται, πρέπει να δημιουργήσουμε 3 τύπους δικτύων: δύο εξωτερικά δίκτυα με συνδέσεις σε διαφορετικούς προσαρμογείς (σύνδεση με το εσωτερικό δίκτυο και σύνδεση με τον πάροχο) και ένα ιδιωτικό δίκτυοαπό εικονικές μηχανές (σύνδεση διακομιστών DMZ). Ως αποτέλεσμα, θα έχουμε τρία δίκτυα (Εικ. 3.)

Στάδιο 3. Δημιουργία εικονικών μηχανών.

Όταν δημιουργείτε εικονικές μηχανές που βρίσκονται στην αποστρατιωτικοποιημένη ζώνη, πρέπει να καθορίσετε τον προσαρμογέα Virtual DMZ που δημιουργήθηκε. Η προεπιλεγμένη πύλη θα είναι Διακομιστής Microsoft Forefront Threat Management Gateway. Διαμόρφωση και ένταση σκληροι ΔΙΣΚΟΙεπιλεγεί με βάση τις εργασίες που έχουν ανατεθεί στον διακομιστή.

Για τη δημιουργία εικονική μηχανήπρέπει να κάνετε δεξί κλικ στον διακομιστή Hyper-V και να επιλέξετε «Δημιουργία – Εικονική μηχανή». Μετά από αυτό θα ανοίξει ένα παράθυρο πρόσκλησης.

Στο παράθυρο «Καθορισμός ονόματος και τοποθεσίας», πρέπει να προσδιορίσετε το όνομα και τη θέση του αρχείου διαμόρφωσης εικονικού διακομιστή (Εικ. 4.).

Στο παράθυρο «Κατανομή μνήμης» (Εικ. 5), πρέπει να επιλέξετε το μέγεθος μνήμη τυχαίας προσπέλασης. Για Microsoft Forefront Threat Management Gateway ελάχιστες απαιτήσειςΑπαιτείται 2 GB RAM.

Στο παράθυρο "Ρυθμίσεις δικτύου", επιλέξτε μια σύνδεση με το εσωτερικό δίκτυο (Εικονικό Εσωτερικό).

Στο παράθυρο "Σύνδεση". εικονικό σκληρόδίσκος" πρέπει να επιλέξετε "Δημιουργία εικονικού HDD" Καθορίστε το μέγεθος (για Microsoft Windows 2008 R2, τουλάχιστον 11 GB) (Εικ. 7).

Στο παράθυρο "Επιλογές εγκατάστασης", επιλέξτε "Εγκατάσταση λειτουργικό σύστημααργότερα» και κάντε κλικ στο «Επόμενο» (Εικ. 8).

Μετά το παράθυρο "Σύνοψη", κάντε κλικ στο "Τέλος".

Πριν προχωρήσετε σε εγκατάσταση των WindowsΔιακομιστής 2008 R2 πρέπει να μεταβείτε στις ρυθμίσεις εικονικής μηχανής FOREFRONT. Κάντε δεξί κλικΚάντε κλικ στην εικονική μηχανή - Ρυθμίσεις...

Και στο παράθυρο "Ρυθμίσεις για ΜΠΡΟΣΤΑ".

Στο παράθυρο, επιλέξτε "Εγκατάσταση υλικού" - " Προσαρμογέας δικτύου" και κάντε κλικ στο "Προσθήκη". Προσθέστε τους δύο εναπομείναντες προσαρμογείς, το Virtual Internet και το Virtual DMZ. Μετά την προσθήκη, η διαμόρφωση του υπολογιστή θα μοιάζει με αυτό:

Μετά από αυτό, προχωράμε στην εγκατάσταση του Microsoft Windows 2008 R2 Server.

Στάδιο 4. Εγκατάσταση του διακομιστή Microsoft Windows 2008 R2.

Ας ξεκινήσουμε την εγκατάσταση του Windows 2008 R2 Server. Αυτό απαιτεί μια εικόνα δίσκου. Μπορείτε να το κατεβάσετε από τον ιστότοπο της Microsoft. Στον ιστότοπο www.microsoft.ru μπορείτε να βρείτε έναν σκληρό δίσκο για εικονικές μηχανές και να τον αντικαταστήσετε με αυτόν που δημιουργήσαμε νωρίτερα.

Στο "Controller 1 IDE" ορίστε το "Image file" και καθορίστε τη θέση του αρχείου εικόνας.

Ας ξεκινήσουμε την εικονική μηχανή.

Στη συνέχεια, μπορείτε να υποβάλετε την προεπιλεγμένη εγκατάσταση των Microsoft Windows 2006 R2 και Microsoft ForeFront Threat Management Gateway. Εντοπίζουμε προσαρμογείς δικτύου και εκχωρούμε διευθύνσεις IP σύμφωνα με τη διαμόρφωση του δικτύου. ΠΡΟΣΟΧΗ! Μόνο μία προεπιλεγμένη πύλη μπορεί να οριστεί σε έναν υπολογιστή. Συνήθως εκχωρείται στην προεπιλεγμένη πύλη του παρόχου.

Στάδιο 5.Διαμόρφωση της πύλης διαχείρισης απειλών Microsoft Forefront.

Μετά την αρχική εκκίνηση, θα εμφανιστεί το παράθυρο "Started Wizard". Μπορείτε επίσης να το εκκινήσετε μέσω του "Οδηγού εκκίνησης εκκίνησης"

Στις ρυθμίσεις "Επιλογή προτύπου δικτύου", επιλέξτε "Περίμετρος 3 ποδιών", που θα σας επιτρέψει να περιορίσετε και να δημιουργήσετε ένα DMZ. Κάντε κλικ στο «Επόμενο».

Στο παράθυρο "Ρύθμιση τοπικού δικτύου (LAN)", επιλέξτε τον προσαρμογέα δικτύου που είναι συνδεδεμένος στο εσωτερικό τοπικό δίκτυο.

Στο παράθυρο "Ρύθμιση Internet", επιλέξτε τον προσαρμογέα δικτύου που είναι συνδεδεμένος στον πάροχο.

Στο παράθυρο "Περιμετρική ρύθμιση δικτύου", προσδιορίζουμε τον προσαρμογέα δικτύου που είναι συνδεδεμένος στους διακομιστές στο DMZ. Στη συνέχεια, πρέπει να επιλέξετε τον τύπο εμπιστοσύνης για αυτό το δίκτυο. Μπορεί να είναι είτε Δημόσιο, όταν η δρομολόγηση χωρίς χρήση NAT θα διαμορφωθεί σε διακομιστές που βρίσκονται στο DMZ, είτε Ιδιωτικό, όταν η δρομολόγηση θα διαμορφωθεί χρησιμοποιώντας NAT. Αυτή η λειτουργίαθα καθοριστεί από το επίπεδο εμπιστοσύνης στο δίκτυο DMZ. Η ιδιωτική λειτουργία θα προστατεύσει πλήρως το δίκτυό σας από την ορατότητα από το DMZ, αλλά ενδέχεται να προκύψουν προβλήματα με τη ρύθμιση κανόνων πρόσβασης.

Αυτό το άρθρο έδειξε πώς μπορείτε να ρυθμίσετε μια περίμετρο 3 ποδιών. Δυστυχώς, στο πλαίσιο αυτού του άρθρου είναι αδύνατο να φανεί πλήρης προσαρμογή Microsoft Forefront Threat Management Gateway για οργανισμούς, επειδή κάθε οργανισμός θα έχει τους δικούς του κανόνες πρόσβασης και σχέσεις μεταξύ δικτύων και χρηστών, οι οποίοι περιγράφονται στην πολιτική ασφαλείας.

Βασίλιεφ Ντένις

Δημοσιεύθηκε στις 13 Φεβρουαρίου 2009 από · Ένα σχόλιο

Εάν δεν το έχετε ακούσει ακόμα, το ISA Firewall καταργείται σταδιακά. Η τελική έκδοση του ISA Firewall θα είναι το ISA 2006. Ωστόσο, αυτό δεν σημαίνει ότι το λογισμικό ISA που έχουμε αγαπήσει όλα αυτά τα χρόνια δεν θα υπάρχει πλέον. Αν και η μάρκα ISA θα πέσει στο σκουπιδοτενεκέ της ιστορίας, θα δούμε επόμενη έκδοση ISA Firewall με νέο όνομα: Forefront Threat Management Gateway (εξωτερική πύλη διαχείρισης απειλών).

Υπάρχουν διάφοροι λόγοι για τους οποίους το όνομα ISA πέφτει εκτός χρήσης. Αλλά ίσως ο κύριος λόγος είναι ότι το κοινό φαίνεται να δυσκολεύεται να καταλάβει από το όνομα τι είναι το ISA Firewall. Κάποιοι νόμιζαν ότι ήταν απλώς ένας διακομιστής μεσολάβησης ιστού (στο πνεύμα του Proxy 2.0), άλλοι νόμιζαν ότι ήταν απλώς ένα άλλο τείχος προστασίας, άλλοι νόμιζαν ότι ήταν διακομιστής VPN, άλλοι νόμιζαν ότι ήταν κάποιο είδος Frankenstein ή δεν κατάλαβαν τίποτα απολύτως . Το νέο όνομα θα πρέπει να φέρει περισσότερη προσοχή στο Forefront TMG και, όπως ελπίζει η εταιρεία, θα επιτρέψει στους ανθρώπους να κατανοήσουν τον κύριο σκοπό αυτού του προϊόντος.

Σε αυτό το άρθρο, θα σας καθοδηγήσω στη διαδικασία εγκατάστασης. Ωστόσο, πριν εγκαταστήσετε το TMG, πρέπει να γνωρίζετε τα εξής:

• Το TMG θα τρέχει μόνο σε 64-bit Windows Server 2008. Μόλις κυκλοφορήσει η έκδοση RTM, θα υπάρχει μια δοκιμαστική έκδοση 32-bit του TMG, αλλά δεν θα υπάρχουν εκδόσεις beta για Windows 32-bit
• Το TMG απαιτεί τουλάχιστον 1 GB μνήμης (πιθανότατα θα λειτουργήσει με λιγότερη μνήμη, αλλά θα είναι πολύ αργό)
• 150 MB ελεύθερος χώρος στο δίσκο
• Τουλάχιστον μία κάρτα δικτύου (αν και προτείνω πάντα δύο ή περισσότερους προσαρμογείς δικτύου για μεγαλύτερη αξιοπιστία)
• Πρέπει να εγκαταστήσετε τυπικό φάκελογια να οδηγήσετε το C:
• Η TMG θα εγκαταστήσει τις υπηρεσίες IIS 7 στον υπολογιστή σας για να υποστηρίξει τις υπηρεσίες αναφοράς SQL. Εάν αφαιρέσετε το TMG από το μηχάνημα, το II7 δεν θα αφαιρεθεί αυτόματα, επομένως θα πρέπει να το κάνετε χειροκίνητα
• Οι υπηρεσίες και τα αρχεία προγραμμάτων οδήγησης για το TMG εγκαθίστανται στον φάκελο εγκατάστασης του TMG
• Για την έκδοση beta 1 του TMG, το μηχάνημα TMG πρέπει να αποτελεί μέρος ενός τομέα. Οι μελλοντικές εκδόσεις beta θα υποστηρίζουν μηχανήματα που δεν ανήκουν σε τομείς.

Σε αυτήν τη σειρά άρθρων (θα πρέπει να το κάνουμε σε δύο μέρη) εγκαθιστώ το TMG Μηχάνημα Windows Server 2008 Enterprise που εκτελείται ως εικονική μηχανή (VM) σε VMware Virtual Server 1.0. Η εικονική μηχανή έχει δύο διεπαφές: η μία διεπαφή συνδέεται μέσω μιας γέφυρας εξωτερικό δίκτυοκαι θα λειτουργεί ως εξωτερική διεπαφή και η δεύτερη διεπαφή βρίσκεται στο VMNet2, το οποίο θα είναι η προεπιλεγμένη εσωτερική διεπαφή δικτύου. Σημειώστε ότι το μοντέλο δικτύωσης για το TMG δεν έχει αλλάξει από τη διαμόρφωση που χρησιμοποιείται από το Τείχος προστασίας ISA.

Το TMG είναι ένα από τα στοιχεία λογισμικού που περιλαμβάνονται στη συλλογή προϊόντων Forefront Stirling. Μπορείτε να τα κατεβάσετε όλα ή απλά TMG. Το TMG θα λειτουργήσει μια χαρά χωρίς τον Stirling, αλλά το Stirling είναι σίγουρα κάτι που θα θέλετε να εξετάσετε στο μέλλον.

Κάντε διπλό κλικ στο αρχείο που κατεβάσατε. Θα δείτε μια σελίδα καλωσορίσματος Καλώς ορίσατε στον Οδηγό εγκατάστασης της πύλης διαχείρισης απειλών Forefront. Κάντε κλικ Περαιτέρω.

Εικόνα 1

Εγκαταστήστε τα αρχεία στην προεπιλεγμένη θέση, η οποία θα είναι . Κάντε κλικ Περαιτέρω.

Σχήμα 2

Τα αρχεία θα εξαχθούν σε αυτόν τον φάκελο.

Εικόνα 3

Κάντε κλικ Πλήρηςόταν ολοκληρωθεί η διαδικασία εξαγωγής.

Εικόνα 4

Μεταβείτε στο φάκελο C:\Program Files (x86)\Microsoft ISA Serverκαι κάντε διπλό κλικ στο αρχείο ISAAutorun.exe.

Εικόνα 5

Θα ανοίξει ένα πλαίσιο διαλόγου Ρύθμιση αξιολόγησης Microsoft Forefront TMG 270 ημερών. Κάντε κλικ στον σύνδεσμο Εγκαταστήστε το Forefront TMG.

Εικόνα 6

Αυτό θα εμφανίσει το παράθυρο υποδοχής του οδηγού εγκατάστασης Καλώς ορίσατε στον Οδηγό εγκατάστασης για την πύλη διαχείρισης απειλών Microsoft Forefront. Κάντε κλικ Περαιτέρω.

Εικόνα 7

Στη σελίδα Συμφωνία άδειαςεπιλογή επιλογής Αποδέχομαι τους όρους της άδειας χρήσηςκαι πατήστε Περαιτέρω. Λάβετε υπόψη ότι η άδεια χρήσης εξακολουθεί να περιέχει την παλιά κωδική ονομασία προϊόντος Αζωτο.

Εικόνα 8

Στη σελίδα Πληροφορίες ΚαταναλωτήΚαταχώρησε Όνομα χρήστηΚαι Οργανώσεις. Σειριακός αριθμόςπροϊόνθα εισαχθεί ήδη για εσάς. Κάντε κλικ Περαιτέρω.

Εικόνα 9

Εδώ βρίσκουμε μια νέα επιλογή εγκατάστασης που δεν ήταν διαθέσιμη σε προηγούμενες εκδόσεις του προϊόντος. Στη σελίδα Σενάρια εγκατάστασηςΈχετε την επιλογή να εγκαταστήσετε το Forefront TMG ή απλώς την Κονσόλα διαχείρισης TMG. Σε αυτό το παράδειγμα, θα εγκαταστήσουμε πλήρως το προϊόν, επομένως θα επιλέξουμε Εγκαταστήστε το Forefront Threat Management Gatewayκαι πατήστε Περαιτέρω.

Εικόνα 10

Στη σελίδα Επιλογή εξαρτημάτωνέχετε την επιλογή να εγκαταστήσετε λογισμικόΤείχος προστασίας TMG, Κονσόλα διαχείρισης TMG και CSS. Ναι, το μαντέψατε. Δεν υπάρχουν πλέον τυπικές και Enterprise εκδόσεις του τείχους προστασίας ISA. Το TMG θα πωλείται ως μεμονωμένη έκδοση και αυτή η μεμονωμένη έκδοση χρησιμοποιεί CSS, ακόμα κι αν έχετε έναν πίνακα TMG με ένα μόνο μέλος. Ωστόσο, θα μπορείτε να δημιουργήσετε πίνακες χρησιμοποιώντας το TMG, αλλά αυτή η δυνατότητα δεν είναι διαθέσιμη στην έκδοση beta του TMG και θα είναι διαθέσιμη μόνο σε μελλοντικές εκδόσεις beta.

ΣΕ σε αυτό το παράδειγμαθα εγκαταστήσουμε όλα τα στοιχεία στον προεπιλεγμένο φάκελο. Κάντε κλικ Περαιτέρω.

Εικόνα 11

Φαίνεται ότι έχω πρόβλημα. Παρόλο που το μηχάνημα είναι μέρος ενός τομέα, ξέχασα να συνδεθώ με ένα όνομα χρήστη που ανήκει στον τομέα. Για να εγκαταστήσετε το TMG, πρέπει να συνδεθείτε ως χρήστης που έχει δικαιώματα τοπικού διαχειριστή στον υπολογιστή TMG.

Εικόνα 12

Φαίνεται ότι θα πρέπει να επανεκκινήσω την εγκατάσταση. Θα συνεχίσουμε από εκεί που σταματήσαμε, αφού αποσυνδεθώ από το σύστημα, θα συνδεθώ ξανά κάτω από το επιθυμητό λογαριασμόςκαι επανεκκινήστε τη διαδικασία εγκατάστασης.

Εικόνα 13

Τώρα που είμαι συνδεδεμένος ως χρήστης τομέα με δικαιώματα τοπικού διαχειριστή, θα συνεχίσουμε τη διαδικασία εγκατάστασης από τη σελίδα Εσωτερικό δίκτυο. Εάν έχετε εγκαταστήσει το ISA Firewall, θα αναγνωρίσετε αυτή τη σελίδα επειδή είναι παρόμοια με αυτή που χρησιμοποιήθηκε σε προηγούμενες εκδόσεις του ISA Firewall. Εδώ καθορίζετε το προεπιλεγμένο εσωτερικό δίκτυο. Στις περισσότερες περιπτώσεις πρέπει να επιλέξετε την επιλογή Προσθήκη προσαρμογέακαθώς αυτό θα καθορίσει το προεπιλεγμένο εσωτερικό σας δίκτυο με βάση τον πίνακα δρομολόγησης που έχει διαμορφωθεί στο τείχος προστασίας ISA. Ωστόσο, δεν ξέρω αν η αλλαγή της διαμόρφωσης του πίνακα δρομολόγησης στο τείχος προστασίας ISA θα άλλαζε αυτόματα τον ορισμό του προεπιλεγμένου εσωτερικού δικτύου. Θα σας στοιχηματίσω είκοσι πέντε δολάρια ότι δεν ισχύει, αλλά θα το ελέγξουμε στο μέλλον.

Εικόνα 14

Σελίδα Εσωτερικό δίκτυοδείχνει τον προεπιλεγμένο ορισμό εσωτερικού δικτύου. Κάντε κλικ Περαιτέρω.

Εικόνα 15

Σελίδα Ειδοποίηση υπηρεσίαςσας ενημερώνει ότι Υπηρεσία SNMP, Υπηρεσία Διαχείρισης IIS, World Wide Web Publishing ServiceΚαι Υπηρεσία MicrosoftΥπεύθυνος Λειτουργιώνθα γίνει επανεκκίνηση κατά τη διαδικασία εγκατάστασης. Πιθανότατα να μην έχετε εγκαταστήσει ακόμα το ρόλο του διακομιστή Web σε αυτό το μηχάνημα, επομένως δεν χρειάζεται να ανησυχείτε για την Υπηρεσία Διαχειριστή των υπηρεσιών IIS και την Υπηρεσία δημοσίευσης Παγκόσμιου Ιστού, αλλά θα πρέπει να γνωρίζετε την επανεκκίνηση του SNMP και της Υπηρεσίας Microsoft Operation Manager. Θυμηθείτε, η TMG θα εγκαταστήσει και θα διαμορφώσει τις IIS 7 για εσάς.

Εικόνα 16

Κάντε κλικ ΕγκαθιστώΣτη σελίδα Ο οδηγός είναι έτοιμος να εγκαταστήσει το πρόγραμμα.

Εικόνα 17

Η γραμμή προόδου θα εμφανίσει την κατάσταση εγκατάστασης. Εδώ μπορείτε να δείτε πώς είναι εγκατεστημένο το CSS.

Εικόνα 18

Συνέβη! Σελίδα Ο οδηγός εγκατάστασης ολοκληρώθηκευποδεικνύει ότι η διαδικασία εγκατάστασης ολοκληρώθηκε με επιτυχία. Επιλέξτε το πλαίσιο δίπλα στη γραμμή Εκκινήστε το Forefront TMG Management μετά την ολοκλήρωση της εγκατάστασης. Κάντε κλικ Πλήρης.

Εικόνα 19

Επί σε αυτό το στάδιοθα δείτε μια ιστοσελίδα Προστατέψτε τον διακομιστή TMG Forefront. Εδώ σας παρέχονται πληροφορίες σχετικά με την ενεργοποίηση του Microsoft Update, την εκτέλεση του ISA BPA και την ανάγνωση της ενότητας Προστασία και ασφάλειααρχείο βοήθειας. Μέχρι στιγμής μπορώ να πω ένα πράγμα για το αρχείο βοήθειας, το έχουν κάνει οι κατασκευαστές καλή δουλειάγια την ενημέρωση του περιεχομένου του. Περιέχει πολύ περισσότερες πληροφορίες και πληροφορίες πολύ πιο κοντά πραγματικές συνθήκεςεγκατάσταση που περιλαμβάνεται στο νέο και βελτιωμένο αρχείο βοήθειας. Σας συνιστώ να αφιερώσετε λίγο χρόνο για να το διαβάσετε. Σας εγγυώμαι ότι εάν είστε έμπειρος διαχειριστής του ISA Firewall, το αρχείο βοήθειας TMG θα σας διδάξει πολλά.

Εικόνα 20

Μετά την ολοκλήρωση της αρχικής εγκατάστασης, θα ανοίξει ένας νέος οδηγός. Οδηγός έναρξης. Ο Οδηγός Getting Started είναι μια νέα δυνατότητα που είναι μόνο TMG και δεν υπήρχε σε προηγούμενες εκδόσεις του ISA Firewall. Περιλαμβάνει τρεις βασικούς μάγους και έναν προαιρετικό τέταρτο, τον οποίο θα εξετάσουμε αφού ασχοληθούμε με τους τρεις πρώτους.

Ο πρώτος κύριος είναι Οδηγός ρυθμίσεων δικτύου. Ακολουθήστε αυτόν τον σύνδεσμο Διαμόρφωση ρυθμίσεων δικτύουΣτη σελίδα Οδηγός έναρξης.

Εικόνα 21

Στη σελίδα Καλώς ορίσατε στον Οδηγό εγκατάστασης δικτύουΚάντε κλικ Περαιτέρω.

Εικόνα 22

Στη σελίδα Επιλογή προτύπων δικτύουεπιλέξτε το πρότυπο δικτύου που θέλετε να εφαρμόσετε στο TMG. Αυτά είναι τα ίδια πρότυπα δικτύου που χρησιμοποιήθηκαν σε προηγούμενες εκδόσεις του τείχους προστασίας ISA. Κάντε κλικ σε κάθε επιλογή και διαβάστε τις πληροφορίες που εμφανίζονται στο κάτω μέρος της σελίδας.

Σε αυτό το παράδειγμα, θα χρησιμοποιήσουμε το πρότυπο που προτιμάμε, το οποίο είναι το πρότυπο Τείχος προστασίας άκρων. Κάντε κλικ Περαιτέρω.

Εικόνα 23

Στη σελίδα Ρυθμίσεις τοπικού δικτύου (LAN).Σας δίνεται η ευκαιρία να διαμορφώσετε τις πληροφορίες διεύθυνσης IP για τη διεπαφή LAN. Πρώτα επιλέγετε NIC ( Κάρτα LAN), στο οποίο θέλετε να δημιουργήσετε τη διεπαφή LAN στο τείχος προστασίας ISA κάνοντας κλικ μενού πλοήγησηςανά γραμμή Προσαρμογέας δικτύου συνδεδεμένος σε LAN. Οι πληροφορίες διεύθυνσης IP για αυτό το NIC θα εμφανιστούν αυτόματα. Εδώ μπορείτε να αλλάξετε τις πληροφορίες διεύθυνσης IP. Μπορείτε επίσης να δημιουργήσετε πρόσθετες στατικές διαδρομές κάνοντας κλικ στο κουμπί Προσθήκη.

Πραγματικά δεν ξέρω ποιες αλλαγές σε αυτήν τη σελίδα θα ήταν κατάλληλες για τον ορισμό του προεπιλεγμένου εσωτερικού δικτύου. Ας υποθέσουμε ότι αποφάσισα να διαμορφώσω το προεπιλεγμένο εσωτερικό δίκτυο σε 10.0.0.0-10.0.0.255 και, στη συνέχεια, αποφάσισα να αλλάξω τη διεύθυνση IP στην εσωτερική διεπαφή σε αυτήν τη σελίδα, ώστε να καταλήξει σε διαφορετικό αναγνωριστικό δικτύου. Θα αλλάξει ο προεπιλεγμένος ορισμός εσωτερικού δικτύου; Τι γίνεται αν προσθέσω μια στατική διαδρομή στην εσωτερική διεπαφή TMG; Αυτή η αλλαγή θα αντικατοπτρίζεται στον προεπιλεγμένο ορισμό εσωτερικού δικτύου; Δεν ξέρω, αλλά θα κάνω κάποια έρευνα στο μέλλον.

Δεν θα κάνω καμία αλλαγή σε αυτή τη σελίδα, καθώς έχω ήδη διαμορφώσει το backend και απαραίτητες πληροφορίεςΔιεύθυνση IP. Κάντε κλικ Περαιτέρω.

Εικόνα 24

Στη σελίδα ΕΠΙΛΟΓΕΣ ΔΙΑΔΙΚΤΥΟΥΜπορείτε να διαμορφώσετε τις πληροφορίες διεύθυνσης IP για την εξωτερική διεπαφή του τείχους προστασίας TMG. Όπως και στην προηγούμενη σελίδα, επιλέγετε το NIC που θέλετε να κάνετε το μπροστινό μέρος επιλέγοντας τη γραμμή στο μενού πλοήγησης Προσαρμογέας δικτύου συνδεδεμένος στο Διαδίκτυο. Εδώ μπορείτε επίσης να αλλάξετε τις πληροφορίες διεύθυνσης IP. Δεδομένου ότι έχω ήδη διαμορφώσει τις πληροφορίες της εξωτερικής διεπαφής και της διεύθυνσης IP, δεν θα κάνω καμία αλλαγή εδώ. Κάντε κλικ Περαιτέρω.

Εικόνα 25

Στη σελίδα Ολοκλήρωση του Οδηγού εγκατάστασης δικτύουδείχνει τα αποτελέσματα των αλλαγών που έγιναν. Κάντε κλικ Πλήρης.

Εικόνα 26

Θα μεταφερθείτε πίσω στη σελίδα Οδηγός έναρξης. Ο επόμενος κύριος είναι Οδηγός ρυθμίσεων συστήματος. Ακολουθήστε αυτόν τον σύνδεσμο Διαμόρφωση ρυθμίσεων συστήματος.

Εικόνα 27

Εικόνα 28

Στη σελίδα Αναγνώριση κεντρικού υπολογιστήθα ερωτηθείτε σχετικά με το όνομα κεντρικού υπολογιστή και τη συσχέτιση τομέα του τείχους προστασίας TMG. Σε αυτό το παράδειγμα, ο οδηγός καθόρισε αυτόματα το όνομα κεντρικού υπολογιστή του μηχανήματος, το οποίο είναι TMG2009. Ο κύριος καθόρισε επίσης ότι το μηχάνημα ανήκει στον τομέα. Πιστεύω ότι αυτός ο οδηγός θα σας επιτρέψει να εγγραφείτε στον τομέα εάν δεν το έχετε κάνει ήδη ή να αποχωρήσετε από τον τομέα εάν το επιθυμείτε. Επίσης, αν ανήκει το αυτοκίνητο ομάδα εργασίας, θα έχετε την ευκαιρία να μπείτε πρωτεύον DNSένα επίθημα που μπορεί να χρησιμοποιήσει το Τείχος προστασίας ISA για την εγγραφή του τομέα σας DNS, εάν έχετε ενεργοποιημένο το DDNS και δεν χρειάζεστε αξιόπιστες ενημερώσεις DDNS.

Εφόσον έχω ήδη διαμορφώσει αυτό το μηχάνημα ως μέλος τομέα, δεν χρειάζεται να κάνω αλλαγές σε αυτήν τη σελίδα. Κάντε κλικ Περαιτέρω.

Εικόνα 29

Αυτά για δουλειά Οδηγός ρύθμισης παραμέτρων συστήματοςπεπερασμένος. Κάντε κλικ Πλήρηςστη σελίδα ολοκλήρωσης του οδηγού Ολοκλήρωση του Οδηγού ρύθμισης παραμέτρων συστήματος.

Εικόνα 30

Έχουμε ακόμα ένα master στη σελίδα Οδηγός έναρξης. Ακολουθήστε αυτόν τον σύνδεσμο Καθορίστε τις επιλογές εγκατάστασης.

Εικόνα 31

Εικόνα 32

Στη σελίδα Ρύθμιση του Microsoft Updateέχεις επιλογές Χρησιμοποιήστε το Microsoft Update για να αναζητήσετε ενημερώσειςΚαι Δεν θέλω να χρησιμοποιήσω την υπηρεσία Microsoft Update. Λάβετε υπόψη ότι το TMG χρησιμοποιεί το Microsoft Update όχι μόνο για να ενημερώσει το λειτουργικό σύστημα και το λογισμικό τείχους προστασίας TMG, αλλά και για να ελέγξει για κακόβουλο λογισμικό, και αυτό το κάνει πολλές φορές την ημέρα (από προεπιλογή, κάθε 15 λεπτά). Δεδομένου ότι ένα από τα κύρια πλεονεκτήματα της χρήσης του Τείχους προστασίας της Microsoft σε σχέση με άλλα τείχη προστασίας είναι η εξαιρετική δυνατότητα αυτόματης ενημέρωσης, θα προχωρήσουμε και θα χρησιμοποιήσουμε τον ιστότοπο του Microsoft Update. Κάντε κλικ Περαιτέρω.

Εικόνα 33

Στη σελίδα Καθορισμός επιλογών ενημέρωσηςκαθορίζετε εάν θέλετε το τείχος προστασίας TMG αναζήτηση και εγκατάσταση, απλά κοιτάζωή δεν έκανε τίποταγια να ενημερώσετε τη σάρωση κακόβουλου λογισμικού. Μπορείτε επίσης να ορίσετε τη συχνότητα επιθεώρησης, η οποία είναι προεπιλεγμένη κάθε 15 λεπτά. Αλλά μπορείτε να το ρυθμίσετε ώστε να πραγματοποιεί λήψη ενημερώσεων μία φορά την ημέρα και, στη συνέχεια, να διαμορφώσετε την ώρα της ημέρας κατά την εγκατάσταση αυτών των ενημερώσεων. Κάντε κλικ Περαιτέρω.

Εικόνα 34

Στη σελίδα Ανατροφοδότησημε τον καταναλωτήΜπορείτε να καθορίσετε εάν θέλετε να παρέχετε ανώνυμες πληροφορίες στη Microsoft σχετικά με τη διαμόρφωση του υλικού σας και τον τρόπο χρήσης του προϊόντος. Καμία πληροφορία που κοινοποιείται στη Microsoft δεν μπορεί να χρησιμοποιηθεί για τον προσδιορισμό της ταυτότητάς σας και καμία προσωπική πληροφορία δεν κοινοποιείται στη Microsoft. Πιστεύω ότι πρέπει να αναφέρω το όνομά μου, την ημερομηνία γέννησης, τον αριθμό κοινωνική ασφάλιση, τον αριθμό άδειας οδήγησης και τη διεύθυνση της τράπεζάς μου, και εμπιστεύομαι τη Microsoft πολύ περισσότερο από την τράπεζά μου, δεδομένων των απαιτήσεων για τις τράπεζες να αναφέρουν πληροφορίες στην ομοσπονδιακή κυβέρνηση. Επομένως, η κοινοποίηση αυτών των τεχνικών πληροφοριών με τη Microsoft δεν ενέχει κανέναν κίνδυνο και βοηθά τη Microsoft να κάνει τα προϊόντα της πιο σταθερά και αξιόπιστα. Επιλέξτε μια επιλογή Ναι, θα ήθελα να συμμετάσχω ανώνυμα στο πρόγραμμα βελτίωσης της εμπειρίας πελατών (συνιστάται).

Εικόνα 35

Στη σελίδα Υπηρεσία Τηλεμετρία της Microsoft Μπορείτε να προσαρμόσετε το επίπεδο συνδρομής στην υπηρεσία τηλεμετρίας της Microsoft. Το Microsoft Telemetry βοηθά στην προστασία από κακόβουλο λογισμικό και μη εξουσιοδοτημένη πρόσβαση παρέχοντας στις εταιρείες πληροφορίες σχετικά με πιθανές επιθέσεις, τις οποίες χρησιμοποιεί η Microsoft για να βοηθήσει στον εντοπισμό του τύπου της επίθεσης και στη βελτίωση της ακρίβειας και της αποτελεσματικότητας του μετριασμού της απειλής. Σε ορισμένες περιπτώσεις, προσωπικές πληροφορίες ενδέχεται να αποστέλλονται ακούσια στη Microsoft, αλλά η Microsoft δεν θα χρησιμοποιήσει αυτές τις πληροφορίες για να προσδιορίσει την ταυτότητά σας ή να επικοινωνήσει μαζί σας. Είναι δύσκολο να προσδιοριστεί ακριβώς ποιες προσωπικές πληροφορίες μπορούν να σταλούν, αλλά επειδή έχω καταλήξει να εμπιστεύομαι τη Microsoft, θα επιλέξω την επιλογή Εγγραφείτε με αυξημένο επίπεδο συνεργασίας. Κάντε κλικ Περαιτέρω.

Εικόνα 36

Στη σελίδα Ολοκλήρωση του οδηγού εγκατάστασηςεμφανίζονται οι επιλογές που επιλέξατε. Κάντε κλικ Πλήρης.

Εικόνα 37

Αυτό είναι όλο! Τελειώσαμε τη συνεργασία με τον κύριο Οδηγός έναρξης. Αλλά αυτό δεν σημαίνει ότι τελείωσε. Εάν τσεκάρετε την επιλογή Εκκινήστε τον Οδηγό πρόσβασης στο Web, τότε θα ανοίξει το παράθυρο αυτού του οδηγού. Ας ελέγξουμε αυτήν την επιλογή και ας δούμε τι συμβαίνει.

Εικόνα 38

Θα ανοίξει το παράθυρο καλωσορίσματος του οδηγού. Καλώς ορίσατε στον Οδηγό πολιτικής πρόσβασης στο Web. Επειδη αυτο νέος τρόποςδημιουργώντας μια πολιτική τείχους προστασίας TMG, νομίζω ότι θα περιμένουμε μέχρι το επόμενο μέρος για να εξετάσουμε λεπτομερώς αυτόν τον οδηγό. Φαίνεται ότι το TMG θα σας επιτρέψει να διαμορφώσετε τις πολιτικές πρόσβασης στον ιστό λίγο διαφορετικά από ό,τι σε προηγούμενες εκδόσεις του ISA Firewall, επομένως θα αφιερώσουμε το επόμενο μέρος σε αυτό.

Εικόνα 39

Τώρα που ολοκληρώθηκε η εγκατάσταση, έχουμε νέα κονσόλα. Αν κοιτάξετε στον αριστερό πίνακα της κονσόλας, θα δείτε ότι δεν υπάρχουν απολύτως καρτέλες, κάτι που κάνει την πλοήγηση λίγο πιο εύκολη. Βλέπουμε επίσης νέα καρτέλα Κέντρο ενημέρωσης. Από εδώ μπορείτε να λάβετε πληροφορίες σχετικά με ενημερώσεις στην υπηρεσία προστασίας από κακόβουλο λογισμικό TMG και να μάθετε πότε εγκαταστάθηκαν αυτές οι ενημερώσεις.

Εικόνα 40

Μετά την ολοκλήρωση της διαδικασίας εγκατάστασης, διαπίστωσα ότι υπήρχαν κάποια σφάλματα. Αλλά αυτό πιθανότατα οφείλεται στο γεγονός ότι το TMG δεν λειτούργησε καθόλου μετά την εγκατάσταση. Κατάφερα να επιλύσω αυτό το ζήτημα επανεκκινώντας τον υπολογιστή μου. Δεν είμαι σίγουρος αν αυτό οφείλεται στην εγκατάσταση του τείχους προστασίας TMG εικονικός διακομιστής VMware, ή με το γεγονός ότι πρόκειται για έκδοση beta.

Εικόνα 41

Δίνοντας προσοχή σε Πρωτεύουσες εργασίες εγκατάστασης, μπορεί να παρατηρήσετε ότι πολλοί ρόλοι και υπηρεσίες έχουν εγκατασταθεί σε αυτόν τον υπολογιστή ως μέρος της εγκατάστασης TMG. Αυτό περιλαμβάνει:

Περίληψη

Σε αυτό το άρθρο, εξετάσαμε τη διαδικασία εγκατάστασης του τείχους προστασίας TMG. Υπήρξαν κάποιες αλλαγές εδώ σε σύγκριση με προηγούμενες εκδόσεις του ISA Firewall, αλλά τίποτα το εξαιρετικό. Αυτό είναι φυσιολογικό, η εγκατάσταση δεν είναι μια διαδικασία από την οποία περιμένεις κάτι εκπληκτικό. Έχουμε δει μερικές μεγάλες βελτιώσεις στη διαδικασία εγκατάστασης που παρέχουν πρόσθετη ευελιξία κατά την εγκατάσταση.

Εάν αφιερώσετε λίγο περισσότερο χρόνο κοιτάζοντας το λογισμικό τείχους προστασίας TMG μετά την εγκατάσταση και δεν βρείτε καμία από τις δυνατότητες που περιμένατε να βρείτε, μην ανησυχείτε. Αυτή είναι μια πολύ πρώιμη έκδοση beta και πιστεύω ότι απέχει πολύ από το να έχει ολοκληρωθεί. Γνωρίζω ότι υπήρξαν αιτήματα για δεκάδες άλλα χαρακτηριστικά όταν κυκλοφόρησε το ISA 2000. Αν και μερικές φορές οι πρώτες εντυπώσεις διαρκούν, δεν θέλω να είμαι ο λόγος για την πρώτη σας εντύπωση για το TMG. Θυμηθείτε, αυτή είναι μόνο η πρώτη έκδοση beta, οπότε περιμένετε πολλές νέες επιλογές και δυνατότητες στο μέλλον που μπορούν να σας κάνουν χαρούμενους. Ευχαριστώ!

Τις προάλλες μπερδευτήκαμε και αποφασίσαμε να μεταφέρουμε όλους τους χρήστες σε proxies στο TMG. Αποφάσισα να δοκιμάσω αυτή τη διαδικασία σε μια εικονική μηχανή.

Τυπικές λειτουργίες πελάτη TMG

• Πολιτική τείχους προστασίας που βασίζεται σε χρήστες ή ομάδες για διακομιστές μεσολάβησης Ιστού και μη μέσω πρωτοκόλλων TCP και UDP (μόνο για αυτά τα πρωτόκολλα)
• Υποστηρίζει πολύπλοκα πρωτόκολλα χωρίς την ανάγκη φίλτρου εφαρμογής TMG
• Απλοποιημένη ρύθμιση δρομολόγησης για μεγάλους οργανισμούς
• Αυτόματη ανακάλυψη πληροφοριών TMG με βάση τις ρυθμίσεις διακομιστή DNS και DHCP.

Απαιτήσεις συστήματος

Ο πελάτης TMG έχει ορισμένες απαιτήσεις συστήματος:

Υποστηριζόμενο λειτουργικό σύστημα

• Windows 7
• Windows Server 2003
• Windows Server 2008
• Windows Vista
• Windows XP

Υποστηριζόμενες εκδόσεις του ISA Server και του Forefront TMG

• ISA Server 2004 Standard Edition
• ISA Server 2004 Enterprise Edition
• ISA Server 2006 Standard Edition
• ISA Server 2006 Enterprise Edition
• Forefront TMG MBE (Medium Business Edition)
• Forefront TMG 2010 Standard Edition
• Forefront TMG 2010 Enterprise Edition

Ρυθμίσεις πελάτη TMG στον διακομιστή TMG

Υπάρχουν μόνο λίγες ρυθμίσεις στον διακομιστή Forefront TMG που ελέγχουν πώς συμπεριφέρεται ο πελάτης Forefront TMG. Πρώτα απ 'όλα, μπορείτε να ενεργοποιήσετε την υποστήριξη πελάτη TMG για να ορίσετε το εσωτερικό δίκτυο στον διακομιστή TMG, όπως φαίνεται στην παρακάτω εικόνα.

Εικόνα 1: Ρυθμίσεις πελάτη TMG στο TMG

Μόλις ενεργοποιηθεί η υποστήριξη πελάτη TMG (αυτή είναι η προεπιλογή σε μια τυπική εγκατάσταση TMG), μπορείτε επίσης να αυτοματοποιήσετε τη διαμόρφωση του προγράμματος περιήγησης ιστού σε υπολογιστές-πελάτες. Κατά τη διάρκεια των κανονικών διαστημάτων ανανέωσης του προγράμματος-πελάτη TMG ή κατά την εκκίνηση της υπηρεσίας, το πρόγραμμα περιήγησης λαμβάνει τις ρυθμίσεις που έχουν διαμορφωθεί στην κονσόλα διαχείρισης TMG.

Στις ρυθμίσεις εφαρμογών στον υπολογιστή-πελάτη TMG στην κονσόλα TMG, μπορείτε να ενεργοποιήσετε ή να απενεργοποιήσετε ορισμένες ρυθμίσεις εξάρτησης εφαρμογής.

Δείκτης μ.Χ

Το Microsoft Forefront TMG παρέχει μια νέα δυνατότητα για αυτόματη ανίχνευση διακομιστή TMG για πελάτη TMG. Σε αντίθεση με τις προηγούμενες εκδόσεις των προγραμμάτων-πελατών Firewall, το πρόγραμμα-πελάτη Forefront TMG μπορεί τώρα να χρησιμοποιήσει έναν δείκτη στην υπηρεσία καταλόγου Active Directory για να βρει τον αντίστοιχο διακομιστή TMG. Ο πελάτης TMG χρησιμοποιεί LDAP για να αναζητήσει τις απαιτούμενες πληροφορίες στην υπηρεσία καταλόγου Active Directory.

Σημείωση:Εάν ο πελάτης TMG δεν βρει ένα διακριτικό AD, δεν θα επιστρέψει στο κλασικό σχήμα αυτόματης ανακάλυψης μέσω DHCP και DNS για λόγους ασφαλείας. Αυτό γίνεται για να μειωθεί ο κίνδυνος μιας κατάστασης στην οποία ένας εισβολέας προσπαθεί να αναγκάσει έναν πελάτη να χρησιμοποιήσει μια λιγότερο ασφαλή μέθοδο. Εάν μπορεί να δημιουργηθεί η σύνδεση Active Directory αλλά δεν μπορεί να βρεθεί ο δείκτης AD, οι πελάτες TMG επιστρέφουν στο DHCP και στο DNS.

Εργαλείο TMGADConfig

Για να δημιουργήσετε μια διαμόρφωση AD Marker στην Active Directory, μπορείτε να κάνετε λήψη του εργαλείου TMG AD Config από το κέντρο Λήψεις της MicrosoftΚέντρο λήψης (πρέπει να βρείτε το AdConfigPack.EXE). Μετά τη λήψη και την εγκατάσταση του εργαλείου στο TMG, πρέπει να εκτελέσετε την ακόλουθη εντολή στον διερμηνέα για να προσθέσετε το κλειδί διακριτικού AD στο κλειδί μητρώου:

Tmgadconfig προσθήκη 'προεπιλογής' τύπου winsock 'url http://nameoftmgserver.domain.tld:8080/wspad.dat

Μπορείτε επίσης να αφαιρέσετε τον δείκτη AD χρησιμοποιώντας το εργαλείο tmgadconfig, εάν αποφασίσετε να μην χρησιμοποιήσετε την υποστήριξη του δείκτη AD.

Εγκατάσταση του προγράμματος-πελάτη TMG

Η πιο πρόσφατη έκδοση του προγράμματος-πελάτη TMG μπορεί να ληφθεί από τον ιστότοπο της Microsoft.

Ξεκινήστε τη διαδικασία εγκατάστασης και ακολουθήστε τις οδηγίες του οδηγού.

Εικόνα 3: Εγκατάσταση του προγράμματος-πελάτη TMG

Μπορείτε να καθορίσετε τη θέση του διακομιστή TMG με μη αυτόματο τρόπο ή αυτόματα κατά τη διαδικασία εγκατάστασης του προγράμματος-πελάτη TMG. Μετά την εγκατάσταση, μπορείτε να διαμορφώσετε εκ νέου τις ρυθμίσεις του κινητήρα ανίχνευσης στον υπολογιστή-πελάτη TMG χρησιμοποιώντας το Εργαλείο διαμόρφωσης προγράμματος-πελάτη TMG, το οποίο βρίσκεται στη γραμμή εργασιών του πελάτη σας.

Εικόνα 4: Επιλογή υπολογιστή για εγκατάσταση του προγράμματος-πελάτη TMG

Προηγμένη αυτόματη ανίχνευση

Εάν θέλετε να αλλάξετε τη συμπεριφορά της διαδικασίας αυτόματης ανίχνευσης, ο πελάτης TMG έχει τώρα μια νέα επιλογή για τη διαμόρφωση της μεθόδου αυτόματης ανίχνευσης.

Εικόνα 5: Προηγμένη αυτόματη ανίχνευση

Ειδοποιήσεις επιθεώρησης HTTPS

Το Microsoft Forefront TMG διαθέτει μια νέα δυνατότητα για τον έλεγχο της κυκλοφορίας HTTPS για εξερχόμενες συνδέσεις πελατών. Για την ενημέρωση των χρηστών σχετικά με αυτήν τη διαδικασία, ο νέος πελάτης TMG μπορεί να χρησιμοποιηθεί για να ενημερώσει τους χρήστες ότι οι εξερχόμενες συνδέσεις HTTPS ελέγχονται εάν το χρειάζεστε. Οι διαχειριστές TMG έχουν επίσης τη δυνατότητα να απενεργοποιήσουν τη διαδικασία ειδοποίησης κεντρικά από τον διακομιστή TMG ή χειροκίνητα σε κάθε πελάτη Forefront TMG.